Το VietNamNet παρουσιάζει ένα άρθρο του κ. Dao Trung Thanh, ειδικού στον κυβερνοχώρο και Αναπληρωτή Διευθυντή του Ινστιτούτου Blockchain και Τεχνητής Νοημοσύνης, για την κατανόηση της κυβερνοεπίθεσης στην VNDirect Securities Company και τους κινδύνους του Ransomware.
Το ransomware, ένας τύπος κακόβουλου λογισμικού που κρυπτογραφεί δεδομένα στο σύστημα ενός θύματος και απαιτεί λύτρα για την αποκρυπτογράφησή τους, έχει γίνει μια από τις πιο επικίνδυνες απειλές στον κυβερνοχώρο στον κόσμο σήμερα. Φωτογραφία: zephyr_p/Fotolia

Η περίπτωση VNDirect και τι κάνει το Ransomware επικίνδυνο;

Στις 24 Μαρτίου 2024, η VNDirect Securities Company στο Βιετνάμ έγινε το τελευταίο hotspot στον χάρτη των διεθνών επιθέσεων ransomware. Αυτή η επίθεση δεν είναι μεμονωμένη περίπτωση.

Το ransomware, ένας τύπος κακόβουλου λογισμικού που έχει σχεδιαστεί για να κρυπτογραφεί δεδομένα στο σύστημα ενός θύματος και να απαιτεί λύτρα για την αποκρυπτογράφησή τους, έχει γίνει μια από τις πιο διαδεδομένες και επικίνδυνες απειλές για την κυβερνοασφάλεια στον κόσμο σήμερα. Η αυξανόμενη εξάρτηση από τα ψηφιακά δεδομένα και την τεχνολογία πληροφοριών σε όλους τους τομείς της κοινωνικής ζωής καθιστά τους οργανισμούς και τα άτομα ευάλωτα σε αυτές τις επιθέσεις.

Ο κίνδυνος του ransomware δεν έγκειται μόνο στην ικανότητά του να κρυπτογραφεί δεδομένα, αλλά και στον τρόπο με τον οποίο εξαπλώνεται και απαιτεί λύτρα, δημιουργώντας ένα κανάλι οικονομικών συναλλαγών μέσω του οποίου οι χάκερ μπορούν να αποκομίσουν παράνομα κέρδη. Η πολυπλοκότητα και η απρόβλεπτη φύση των επιθέσεων ransomware τις καθιστούν μία από τις μεγαλύτερες προκλήσεις που αντιμετωπίζει η κυβερνοασφάλεια σήμερα.

Η επίθεση VNDirect αποτελεί μια έντονη υπενθύμιση της σημασίας της κατανόησης και της πρόληψης του ransomware. Μόνο κατανοώντας πώς λειτουργεί το ransomware και την απειλή που θέτει, μπορούμε να θέσουμε σε εφαρμογή αποτελεσματικά μέτρα προστασίας, από την εκπαίδευση των χρηστών και την εφαρμογή τεχνικών λύσεων έως την ανάπτυξη μιας ολοκληρωμένης στρατηγικής πρόληψης για την προστασία κρίσιμων δεδομένων και συστημάτων πληροφοριών.

Πώς λειτουργεί το Ransomware

Το ransomware, μια τρομακτική απειλή στον κόσμο της κυβερνοασφάλειας, λειτουργεί με έναν εξελιγμένο και πολύπλευρο τρόπο, προκαλώντας σοβαρές συνέπειες για τα θύματα. Για να κατανοήσουμε καλύτερα πώς λειτουργεί το ransomware, πρέπει να εμβαθύνουμε σε κάθε βήμα της διαδικασίας επίθεσης.

Μόλυνση

Η επίθεση ξεκινά όταν το ransomware μολύνει ένα σύστημα. Υπάρχουν διάφοροι συνηθισμένοι τρόποι με τους οποίους το ransomware μπορεί να εισέλθει στο σύστημα ενός θύματος, όπως:

Ηλεκτρονικά μηνύματα ηλεκτρονικού "ψαρέματος" (phishing): Ψεύτικα μηνύματα ηλεκτρονικού ταχυδρομείου με κακόβουλα συνημμένα ή συνδέσμους προς ιστότοπους που περιέχουν κακόβουλο κώδικα. Εκμετάλλευση ευπαθειών ασφαλείας: Εκμετάλλευση ευπαθειών σε μη ενημερωμένο λογισμικό για αυτόματη εγκατάσταση ransomware χωρίς παρέμβαση του χρήστη. Κακόβουλη διαφήμιση: Χρήση διαφημίσεων στο διαδίκτυο για τη διανομή κακόβουλου λογισμικού. Λήψεις από κακόβουλους ιστότοπους: Οι χρήστες κατεβάζουν λογισμικό ή περιεχόμενο από μη αξιόπιστους ιστότοπους.

Κρυπτογράφηση

Μόλις μολυνθεί, το ransomware ξεκινά τη διαδικασία κρυπτογράφησης δεδομένων στο σύστημα του θύματος. Η κρυπτογράφηση είναι η διαδικασία μετατροπής δεδομένων σε μορφή που δεν μπορεί να διαβαστεί χωρίς το κλειδί αποκρυπτογράφησης. Το ransomware συχνά χρησιμοποιεί ισχυρούς αλγόριθμους κρυπτογράφησης, διασφαλίζοντας ότι τα κρυπτογραφημένα δεδομένα δεν μπορούν να ανακτηθούν χωρίς το συγκεκριμένο κλειδί.

Αίτηση λύτρων

Μετά την κρυπτογράφηση των δεδομένων, το ransomware εμφανίζει ένα μήνυμα στην οθόνη του θύματος, ζητώντας λύτρα για την αποκρυπτογράφηση των δεδομένων. Αυτό το μήνυμα συνήθως περιέχει οδηγίες για τον τρόπο πληρωμής (συνήθως μέσω Bitcoin ή άλλων κρυπτονομισμάτων για την απόκρυψη της ταυτότητας του εγκληματία), καθώς και μια προθεσμία πληρωμής. Ορισμένες εκδόσεις του ransomware απειλούν επίσης να διαγράψουν τα δεδομένα ή να τα δημοσιεύσουν εάν δεν καταβληθούν τα λύτρα.

Συναλλαγές και αποκρυπτογράφηση (ή όχι)

Στη συνέχεια, το θύμα αντιμετωπίζει μια δύσκολη απόφαση: είτε να πληρώσει τα λύτρα και να ελπίζει ότι θα πάρει πίσω τα δεδομένα του, είτε να αρνηθεί και να τα χάσει για πάντα. Ωστόσο, η πληρωμή δεν εγγυάται ότι τα δεδομένα θα αποκρυπτογραφηθούν. Στην πραγματικότητα, μπορεί να ενθαρρύνει τους εγκληματίες να συνεχίσουν τις πράξεις τους.

Ο τρόπος λειτουργίας του ransomware δεν καταδεικνύει μόνο τεχνική πολυπλοκότητα, αλλά και μια θλιβερή πραγματικότητα: την προθυμία εκμετάλλευσης της ευπιστίας και της άγνοιας των χρηστών. Αυτό υπογραμμίζει τη σημασία της αύξησης της ευαισθητοποίησης και των γνώσεων σχετικά με την κυβερνοασφάλεια, από την αναγνώριση email ηλεκτρονικού "ψαρέματος" (phishing) έως τη διατήρηση ενημερωμένου λογισμικού ασφαλείας. Με μια συνεχώς εξελισσόμενη απειλή όπως το ransomware, η εκπαίδευση και η πρόληψη είναι πιο σημαντικές από ποτέ.

Κοινές παραλλαγές του Ransomware

Στον διαρκώς εξελισσόμενο κόσμο των απειλών ransomware, ορισμένες παραλλαγές ξεχωρίζουν για την πολυπλοκότητά τους, την ικανότητά τους να εξαπλώνονται και τον σοβαρό αντίκτυπο που έχουν σε οργανισμούς σε όλο τον κόσμο. Ακολουθούν περιγραφές επτά δημοφιλών παραλλαγών και ο τρόπος λειτουργίας τους.

REvil (επίσης γνωστό ως Sodinokibi)

Χαρακτηριστικά: Το REvil είναι μια παραλλαγή του Ransomware-as-a-Service (RaaS), που επιτρέπει στους κυβερνοεγκληματίες να το «νοικιάζουν» για να πραγματοποιούν τις δικές τους επιθέσεις. Αυτό αυξάνει σημαντικά την ικανότητα εξάπλωσης του ransomware και τον αριθμό των θυμάτων.

Μέθοδοι Διάδοσης: Διανομή μέσω τρωτών σημείων ασφαλείας, email ηλεκτρονικού "ψαρέματος" (phishing) και εργαλείων απομακρυσμένης επίθεσης. Το REvil χρησιμοποιεί επίσης μεθόδους επίθεσης για την αυτόματη κρυπτογράφηση ή κλοπή δεδομένων.

Ριούκ

Χαρακτηριστικά: Το Ryuk στοχεύει κυρίως μεγάλους οργανισμούς για τη μεγιστοποίηση των πληρωμών λύτρων. Έχει τη δυνατότητα να προσαρμόζεται για κάθε επίθεση, γεγονός που καθιστά δύσκολη την ανίχνευση και την αφαίρεσή της.

Μέθοδος διάδοσης: Μέσω email ηλεκτρονικού "ψαρέματος" (phishing) και δικτύων που έχουν μολυνθεί με άλλο κακόβουλο λογισμικό, όπως το Trickbot και το Emotet, ο Ryuk διαδίδει και κρυπτογραφεί δεδομένα δικτύου.

Ρομπένχουντ

Χαρακτηριστικά: Το Robinhood είναι γνωστό για την ικανότητά του να επιτίθεται σε κυβερνητικά συστήματα και μεγάλους οργανισμούς, χρησιμοποιώντας μια εξελιγμένη τακτική κρυπτογράφησης για να κλειδώνει αρχεία και να απαιτεί μεγάλα λύτρα.

Μέθοδος διάδοσης: Διάδοση μέσω καμπανιών ηλεκτρονικού "ψαρέματος" (phishing) καθώς και εκμετάλλευση τρωτών σημείων ασφαλείας σε λογισμικό.

DoppelPaymer

Χαρακτηριστικά: Το DoppelPaymer είναι μια αυτόνομη παραλλαγή ransomware με την ικανότητα να προκαλεί σοβαρές ζημιές κρυπτογραφώντας δεδομένα και απειλώντας να απελευθερώσει πληροφορίες εάν δεν καταβληθούν λύτρα.

Μέθοδος διάδοσης: Διαδίδεται μέσω εργαλείων απομακρυσμένης επίθεσης και email ηλεκτρονικού "ψαρέματος" (phishing), στοχεύοντας ειδικά σε ευπάθειες σε λογισμικό που δεν έχει ενημερωθεί.

ΦΙΔΙ (επίσης γνωστό ως EKANS)

Χαρακτηριστικά: Το SNAKE έχει σχεδιαστεί για να επιτίθεται σε βιομηχανικά συστήματα ελέγχου (ICS). Δεν κρυπτογραφεί μόνο δεδομένα, αλλά μπορεί επίσης να διαταράξει βιομηχανικές διαδικασίες.

Μέθοδος διάδοσης: Μέσω καμπανιών ηλεκτρονικού "ψαρέματος" (phishing) και εκμετάλλευσης (exploit campaigns), με έμφαση στη στόχευση συγκεκριμένων βιομηχανικών συστημάτων.

Φόβος

Χαρακτηριστικά: Το Phobos έχει πολλές ομοιότητες με το Dharma, μια άλλη παραλλαγή ransomware, και χρησιμοποιείται συχνά για επιθέσεις σε μικρές επιχειρήσεις μέσω RDP (Remote Desktop Protocol).

Μέθοδος διάδοσης: Κυρίως μέσω εκτεθειμένου ή ευάλωτου RDP, επιτρέποντας στους εισβολείς να έχουν απομακρυσμένη πρόσβαση και να αναπτύσσουν ransomware.

LockBit

Το LockBit είναι μια άλλη δημοφιλής παραλλαγή ransomware που λειτουργεί με το μοντέλο Ransomware-as-a-Service (RaaS) και είναι γνωστό για τις επιθέσεις του σε επιχειρήσεις και κυβερνητικούς οργανισμούς. Το LockBit πραγματοποιεί τις επιθέσεις του σε τρία κύρια στάδια: εκμετάλλευση τρωτών σημείων, διείσδυση σε βάθος στο σύστημα και ανάπτυξη του ωφέλιμου φορτίου κρυπτογράφησης.

Φάση 1 - Εκμετάλλευση: Το LockBit εκμεταλλεύεται τρωτά σημεία στο δίκτυο χρησιμοποιώντας τεχνικές όπως η κοινωνική μηχανική, όπως μέσω email ηλεκτρονικού "ψαρέματος" (phishing) ή επιθέσεις βίας σε διακομιστές intranet και συστήματα δικτύου.

Φάση 2 - Διείσδυση: Μετά την διείσδυση, το LockBit χρησιμοποιεί ένα εργαλείο "μετά-εκμετάλλευσης" για να αυξήσει το επίπεδο πρόσβασής του και να προετοιμάσει το σύστημα για την επίθεση κρυπτογράφησης.

Φάση 3 - Ανάπτυξη: Το LockBit αναπτύσσει το κρυπτογραφημένο ωφέλιμο φορτίο σε κάθε προσβάσιμη συσκευή στο δίκτυο, κρυπτογραφώντας όλα τα αρχεία συστήματος και αφήνοντας ένα σημείωμα λύτρων.

Το LockBit χρησιμοποιεί επίσης μια σειρά από δωρεάν και ανοιχτού κώδικα εργαλεία στη διαδικασία εισβολής του, από σαρωτές δικτύου έως λογισμικό απομακρυσμένης διαχείρισης, για να πραγματοποιήσει αναγνώριση δικτύου, απομακρυσμένη πρόσβαση, κλοπή διαπιστευτηρίων και εξαγωγή δεδομένων. Σε ορισμένες περιπτώσεις, το LockBit απειλεί ακόμη και να δημοσιοποιήσει τα προσωπικά δεδομένα του θύματος εάν δεν ικανοποιηθούν οι απαιτήσεις λύτρων.

Με την πολυπλοκότητά του και την ικανότητά του να εξαπλώνεται ευρέως, το LockBit αποτελεί μία από τις μεγαλύτερες απειλές στον σύγχρονο κόσμο των ransomware. Οι οργανισμοί πρέπει να υιοθετήσουν ένα ολοκληρωμένο σύνολο μέτρων ασφαλείας για να προστατευτούν από αυτό το ransomware και τις παραλλαγές του.

Ντάο Τρανγκ Θαν

Μάθημα 2: Από την επίθεση VNDirect στη στρατηγική κατά των ransomware